[過去ログ] スレ立てるまでもない質問はここで 152匹目 (1002レス)
上下前次1-新
抽出解除 レス栞
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
325(1): 2020/01/13(月)12:07 ID:evkq1+YN(1/4) AAS
同一ドメインの別ポートで公開されているページ上の JavaScript から WebAPI を実行します。
別ポートでホストされるページは第三者のページなので、CSRF が考えられます。
CSRF 対策としてトークンを二重送信する方式を使うことを考えています。
しかし Cookie はポートが異なっているだけでは共有されてしまいます (RFC6265) ので、
1.Cookie で TOKEN_xxxx(ポート番号) を受け取る。(JavaScriptから読み出せないようにするためhttponly)
2.JavaScript は事前に XHR でオリジンから CSRF トークンを受け取る。(レスポンスから取るのは事情があり別読み込み)
3.ホストはプリフライト(OPTIONS)にはエラーを返す。(クロスオリジンでは2のアクセスができなくなるという理解)
とすることを考えました。
ホストでは POST リクエストヘッダのトークンと、自ポートに対応した Cookie のトークンを突き合わせます。
WEBセキュリティは経験不足なので、これで良いのか不安です。
336(1): 2020/01/13(月)16:54 ID:nfiKoGl1(1) AAS
>>325
別ポートに別のサーバー名を割り当てる
foo.bar.com
bar.bar.com
↓こういうのでマルチテナントやったら死ぬ
www.bar.com:8080
www.bar.com:8081
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 0.029s